NIS2 entró en vigor el 17 de octubre de 2024. Seis meses después, las empresas ya están en el barro. Cuento qué ha cambiado en serio en seguridad operativa, qué era teatro de papel y dónde la directiva sigue apretando.
Cuando un LLM pasa de contestar texto a ejecutar herramientas, la superficie de ataque cambia de categoría. La inyección de prompts, la contaminación de memoria y el abuso de protocolos entre agentes son el nuevo OWASP Top 10.
Valkey 8.1 salió el 31 de marzo y marca el momento en que la alternativa comunitaria de Redis deja de ser experimento. Cuenta una migración real: qué cambió, qué se mantuvo igual, y dónde hubo sobresaltos.
La release 1.33 llega el 23 de abril con el nombre Octarine, y el sneak peek oficial de marzo ya deja ver las líneas fuertes: in-place pod resize pasa a beta con el gate activado por defecto, los sidecar containers alcanzan por fin GA, y llegan varias deprecaciones de seguridad y de la API de endpoints que conviene revisar antes del upgrade.
Después de años acumulando SBOMs, el cuello de botella es filtrar qué CVEs afectan de verdad. VEX aparece como la pieza que convierte el ruido en señal, y en 2025 empieza a tener adopción real en pipelines de supply chain.
Semgrep ha crecido hasta convertirse en uno de los análisis estáticos más pragmáticos del ecosistema. Reflexión sobre por qué funciona donde otros SAST fracasan y cómo meterlo en un pipeline sin que se convierta en ruido.
Dos años después de que Zero Trust dejase de ser palabra de marketing, toca mirar cómo conecta con el SIEM del día a día. Reflexión sobre señales útiles, ruido evitable y decisiones que de verdad cambian la postura de seguridad.
CodeQL lleva años siendo el motor de análisis estático de GitHub, pero su alcance real no siempre está claro. Balance de qué detecta bien, qué se le escapa y cómo conviene integrarlo en el flujo de revisión.
Nebula es una VPN peer-to-peer liberada por Slack en 2019 que ha ido madurando sin mucho ruido. Explico cómo funciona, cuándo tiene sentido frente a WireGuard o Tailscale, y qué aprendí desplegándola entre varios nodos.
Deno 2.0 salió en octubre de 2024 con una apuesta clara: compatibilidad seria con npm, pnpm, package.json y node_modules, manteniendo la identidad del runtime. Medio año después, miramos qué ha supuesto para proyectos reales y dónde sigue cojeando.
El NIST publicó los estándares definitivos de criptografía post-cuántica en agosto de 2024. Medio año después, toca pasar de la noticia al plan: inventario, cripto-agilidad, cronograma realista y los errores típicos de quien se lanza ya.
WASI 0.3 (preview 3) se ratificó el 11 de junio de 2026 y añade concurrencia asíncrona nativa al modelo de componentes de WebAssembly mediante streams, futures y funciones async. Resuelve la fragmentación entre lenguajes y runtimes, habilita composición real entre servicios Wasm y abre camino a los hilos cooperativos previstos en próximas versiones 0.3.x.
Meta publicó Llama 3.2 con modelos de 1B y 3B parámetros cuantizados a 4 bits para ejecutarse en dispositivos con recursos limitados. El 3B ocupa 2 GB y alcanza 30-60 tokens por segundo en un portátil con M2. No compite con GPT-4: cubre clasificación, extracción estructurada y conversación guiada sin depender de APIs externas.
Cloudflare Workers cumplió ocho años en 2025 sin dejar de sumar piezas: incluye la base de datos D1, almacenamiento R2 sin tarifas de egreso, Durable Objects para estado distribuido y Workers AI para ejecutar modelos sin gestionar GPUs. Sigue siendo la opción más rápida para lógica de borde; para procesos grandes en memoria o consistencia global estricta, otras plataformas encajan mejor.
Los procesadores Copilot+ de Qualcomm, Intel y AMD han normalizado la presencia de una NPU en el PC doméstico. Una NPU de 40 TOPS puede ejecutar Phi-3 Mini cuantizado consumiendo entre 5 y 10 W, frente a los 40-50 W de una GPU de portátil haciendo la misma tarea. Qué cambia realmente para ejecutar modelos localmente y cuándo merece la pena.
M3 y M4 consolidaron la ventaja de Apple Silicon: memoria unificada de hasta 128 GB compartida entre CPU, GPU y Neural Engine, autonomía de 12 a 16 horas en uso real, y un Neural Engine con 38 TOPS que ejecuta modelos de lenguaje grandes en el propio portátil. Para desarrolladores, la diferencia es tangible.
Vector es el agente de observabilidad de Datadog, escrito en Rust con su propio lenguaje de transformación VRL. Consume entre 30 y 100 MB en operación y soporta logs, métricas y trazas desde docenas de orígenes. Compensa frente a Fluent Bit cuando los pipelines son complejos, y sustituye a Logstash evitando la JVM.
Terraform 1.6, 1.7, 1.8 y 1.9 han traído import blocks, removed, ephemeral values, un framework de tests nativo y el preview de stacks. Mientras tanto, OpenTofu consolida su fork tras el cambio a BSL.
IEC 62443 es el estándar internacional de ciberseguridad para sistemas de control industrial (ICS) y redes OT. Organizado en cuatro bloques, define zonas y conductos de seguridad, cuatro niveles de protección (SL 1-4) y siete requisitos fundacionales. La presión regulatoria de NIS2 acelera su adopción en Europa. Los equipos IT necesitan dominarlo para coordinar segmentación, monitorización e incidentes con los entornos OT de su organización.
El profiling continuo con eBPF captura flame graphs de CPU de todos los procesos de un nodo Linux las 24 horas, sin instrumentar código ni reiniciar servicios, con menos del 1 % de overhead. Parca cubre el clúster completo, Beyla añade métricas y trazas HTTP/gRPC automáticas, y Pyroscope aporta detalle nativo por lenguaje en los servicios más críticos.
En agosto de 2024, el NIST publicó los primeros estándares definitivos de criptografía post-cuántica: FIPS 203 (ML-KEM) para intercambio de claves, FIPS 204 (ML-DSA) para firmas digitales y FIPS 205 (SLH-DSA) como alternativa basada en hash. Sustituyen a RSA y ECDSA antes de que un ordenador cuántico pueda romperlos, y ya hay implementaciones híbridas activas en Chrome y Cloudflare.
El edge computing industrial desplaza el cómputo desde la nube hasta la planta, la máquina o la célula robótica. La latencia local (10-50 ms) es crítica para control de procesos, visión artificial y safety systems: es un límite físico que el ancho de banda no puede resolver. OPC UA, K3s y 5G privado conforman hoy un stack productivo.
Trivy y Grype llevan tiempo compitiendo por ser el escáner de contenedores de referencia. Trivy amplió su alcance a IaC, Kubernetes y repositorios Git, todo en un solo binario; Grype se especializó en la máxima precisión del SBOM y en reducir los falsos positivos. Tras un año de uso intensivo en CI con imágenes reales, aquí va un análisis comparado de dónde gana cada uno.
Kubernetes 1.30, publicada en abril de 2024, lleva ValidatingAdmissionPolicy a disponibilidad general y elimina la necesidad de webhooks externos para políticas CEL. Añade pod scheduling readiness para controlar cuándo entra un pod en el ciclo de scheduling, y job success policy para definir qué índices deben completar un Job distribuido.
Alertmanager mal configurado convierte cualquier incidente en ruido: un receptor único sin agrupar acaba con el canal de Slack ignorado en una semana. Este artículo repasa, con Alertmanager 0.27 y Prometheus 2.54, cómo diseñar el árbol de routing, las reglas de inhibición, los silencios y las rotaciones de guardia para frenar la fatiga de alertas sin perder incidentes reales.
Docker Scout analiza imágenes de contenedor de forma continua contra bases de CVE como NVD y fuentes ecosistema-específicas, y sugiere cambios de imagen base para eliminar vulnerabilidades. Integrado en Docker Desktop y Hub, compite con Trivy, Grype y Snyk. Encaja mejor en equipos que ya usan el ecosistema Docker de extremo a extremo.
Grafana Beyla es un agente eBPF que instrumenta automáticamente aplicaciones existentes sin tocar su código: observa las syscalls del kernel y genera trazas OpenTelemetry y métricas RED para servicios en Go, Java, Python, Node y Rust. Aporta cobertura amplia e inmediata, pero no sustituye al SDK manual para métricas de negocio y lógica interna.
Qualcomm Snapdragon X Elite es el primer chip ARM que iguala el rendimiento de Apple M3 en portátiles Windows, con más de 22 horas de batería y una NPU de 45 TOPS para IA on-device. Compatible con la mayoría del software vía el emulador Prism, pero aún no apto para gaming con anticheat ni cargas x86 especializadas.
Cloudflare Workers dejó de ser una función edge aislada: en 2024, junto con KV, D1, R2 y Durable Objects, forma una plataforma completa que iguala a AWS en latencia y elimina los cargos de egress, aunque todavía no cubre bien el compute de larga duración ni las bases de datos gestionadas maduras que sí ofrece AWS.
Kubernetes 1.31 no trae fuegos artificiales, pero cierra deudas antiguas: AppArmor llega a GA, los sidecars nativos ya funcionan habilitados por defecto camino a su estable en 1.33, y DRA avanza en alpha hacia la beta. Repaso práctico desde la óptica de quien opera clústeres en producción.
OpenTelemetry declaró estables las señales de logs en julio de 2024. La tercera pata de la observabilidad moderna por fin se une a métricas y trazas bajo un único protocolo y un modelo de datos común.
CrowdSec se instala en Debian o Ubuntu con un script oficial y el paquete crowdsec; después se activan las collections de Traefik, WordPress y Gitea, se configura la acquisition para leer los logs correctos, y se añade el bouncer de Traefik como middleware para bloquear o mostrar captcha a las IPs marcadas por la LAPI en tiempo real.
OpenTofu llegó a GA en enero de 2024 como fork open source de Terraform bajo MPL 2.0, con gobernanza de Linux Foundation. Seis meses después, es un reemplazo drop-in estable: mismas configuraciones, mismo state, misma CLI. OpenTofu 1.7 añade cifrado de state nativo, primera ventaja técnica real sobre Terraform.
Rust entró en el árbol principal de Linux en la versión 6.1 (2022) y en la 6.9 (2024) ya suma drivers experimentales, incluido el driver GPU de Asahi para Apple Silicon. En proyectos C/C++ como Chromium, alrededor del 70 % de los bugs de seguridad graves son de memoria, la razón de fondo del debate entre mantenedores del kernel sobre adoptarlo.
La directiva NIS2 entró en vigor el 17 de octubre de 2024, pero a mediados de 2026 solo una parte de los estados miembros la ha transpuesto del todo: Alemania y Países Bajos cerraron su ley, España y Francia siguen en trámite bajo presión de Bruselas. Esto es lo que obliga ya y cómo prepararse sin pánico.
WASI 0.2 alcanzó GA en enero de 2024 y con ella el Component Model de WebAssembly llegó a producción: interfaces WIT tipadas que permiten componer código Rust, Go y JavaScript sin glue code manual. El cambio hace viables hoy edge functions con cold start inferior a 1 ms, plugins seguros y sandboxing de código no confiable, aunque no sustituye a los contenedores en apps tradicionales.
Parca es una herramienta de perfilado continuo basada en eBPF que analiza el uso de CPU de todo el clúster de Kubernetes las 24 horas, sin instrumentar el código y con un overhead inferior al 1 %. Sirve para detectar regresiones de rendimiento antes de producción y para leer flame graphs al depurar.
El carbon-aware computing ejecuta workloads flexibles cuando la red eléctrica emite menos CO2, logrando ahorros del 10-30% sin cambiar infraestructura ni reescribir aplicaciones. La intensidad de carbono varía hasta 16 veces según la hora y la zona; herramientas como Electricity Maps, WattTime y el Carbon Aware SDK permiten programar ese scheduling con datos reales de la red.
Redis pasó a licencia dual SSPL/RSAL en marzo de 2024, dejando de ser open source según la OSI. Valkey nació como fork BSD 3-Clause respaldado por AWS, Google Cloud, Oracle y la Linux Foundation, con compatibilidad total de protocolo con Redis 7.2. La migración es casi siempre trivial: cambiar el binario o la imagen Docker.
cAdvisor sigue incluido en kubelet y cubre métricas de superficie, pero en un cluster Kubernetes de producción no basta. El stack mínimo moderno combina cAdvisor con kube-state-metrics, node-exporter, Prometheus y Grafana como base; eBPF para visibilidad profunda de red y syscalls; y OpenTelemetry para contexto de aplicación.
Llama 3 es la familia de modelos abiertos que Meta lanzó el 18 de abril de 2024 en 8.000 y 70.000 millones de parámetros, entrenada con 15 billones de tokens. El 70B superó a Claude Sonnet, Mistral Medium y GPT-3.5 en la evaluación humana de Meta, y su licencia permite uso comercial gratuito hasta 700 millones de usuarios activos al mes.
Chainguard Images son contenedores Docker minimalistas de la empresa creadora de Sigstore, con cero CVEs conocidos, SBOMs firmados con Cosign y reconstrucciones diarias sobre Wolfi, su propia distribución con glibc. Compensan frente a imágenes oficiales cuando hay compliance estricta, auditorías de cadena de suministro o cargas con datos sensibles en producción.
En 2024 los centros de datos sostenibles van más allá del PUE: la refrigeración líquida se vuelve estándar en los racks de IA, el workload scheduling carbon-aware ya es viable con herramientas como el Carbon Aware SDK, y la reutilización de calor residual suma casos reales en Estocolmo y Helsinki. La directiva europea de eficiencia energética ya exige reportar métricas honestas frente al greenwashing.
Sigstore se ha consolidado como estándar de firma para artefactos OCI. GHCR es el registro mejor integrado; Harbor 2.5+ y Quay ofrecen soporte nativo; AWS ECR empuja su propio esquema KMS. La verificación vale en tres puntos: admission controller del cluster, capa GitOps y pipeline CI/CD. El Rekor público tiene rate limits que, a partir de cierto volumen, obligan a instalar una instancia propia.
Un modelo entrenado en PyTorch o TensorFlow, ejecutado igual en servidor, móvil, navegador o un gateway ARM en planta: eso es lo que resuelve ONNX Runtime. Convierte el formato ONNX en un artefacto portable de verdad, exportado una vez, a costa de ceder algo de rendimiento máximo frente a un runtime nativo específico de cada plataforma.
Deno Deploy es la plataforma serverless-edge del equipo que creó Deno: TypeScript nativo sin transpilación, Web APIs estándar y despliegue global a unas 35 regiones. El arranque en frío ronda los 50ms frente a los 5ms de Cloudflare Workers. Encaja en APIs ligeras y SSR con Fresh o Astro; menos ideal para proyectos que necesitan el ecosistema Cloudflare completo.
Loki indexa solo labels, no el contenido del log, lo que reduce el coste de almacenamiento frente a Elasticsearch. El principal riesgo en produccion es la cardinalidad explosiva cada combinacion unica de label-valores genera un stream y degrada las queries. Separar los paths de lectura y escritura garantiza que una consulta pesada no sature la ingesta.
Fastly Compute ejecuta código WebAssembly directamente en sus ~70 PoPs globales con un cold start de 35 microsegundos. Admite Rust, Go y JavaScript compilado vía Javy. Compite con Cloudflare Workers con ventajas en workloads de cómputo intensivo y entornos ya sobre Fastly CDN, pero a mayor coste de entrada.
6 min582
Usamos cookies propias y de terceros para analizar el tráfico del sitio. Puedes aceptarlas, rechazarlas o configurar tu elección.
Más información sobre las cookies
Preferencias de cookies
NecesariasImprescindibles para el funcionamiento del sitio. Siempre activas.
AnalíticasNos ayudan a entender cómo se usa el sitio (Google Analytics).